Stellungnahme von MyHeritage über einen Cybersicherheitsvorfall

Stellungnahme von MyHeritage über einen Cybersicherheitsvorfall

Kommentare7

Heute, am 4. Juni 2018 gegen 13:00 Uhr EST erhielt der Chief Information Security Officer von MyHeritage eine Nachricht von einem Sicherheitsforscher, dass er auf einem privaten Server außerhalb von MyHeritage eine Datei namens myheritage mit E-Mail-Adressen und gehashten Passwörtern gefunden habe. Unser Informationssicherheitsteam hat die Datei vom Sicherheitsforscher erhalten, überprüft und bestätigt, dass der Inhalt von MyHeritage stammt und alle E-Mail-Adressen von Nutzern, die sich bis zum 26. Oktober 2017 bei MyHeritage angemeldet hatten, und deren gehashten Passwörtern enthielt.

Unmittelbar nach Erhalt der Datei analysierte das Informationssicherheitsteam von MyHeritage die Datei und leitete eine Untersuchung ein, um zu prüfen, wie der Inhalt ermittelt wurde, und um mögliche Ausnutzungen des MyHeritage-Systems zu identifizieren. Wir stellten fest, dass die Datei legitim war, und die E-Mail-Adressen und gehashten Passwörter von 92.283.889 Nutzern enthielt, die sich bis einschließlich dem 26. Oktober 2017, dem Datum des Verstoßes, bei MyHeritage angemeldet hatten. MyHeritage speichert keine Nutzerkennwörter, sondern einen Einweg-Hash für jedes Kennwort, wobei der Hash-Schlüssel für jeden Kunden unterschiedlich ist. Dies bedeutet, dass jeder, der Zugang zu den gehashten Passwörtern erhält, nicht die eigentlichen Passwörter hat.

Der Sicherheitsforscher berichtete, dass keine anderen Daten zu MyHeritage auf dem privaten Server gefunden wurden. Es gab keine Beweise, dass die Daten in der Datei jemals von den Tätern verwendet wurden. Seit dem 26. Oktober 2017 (dem Datum des Verstoßes) und der Gegenwart haben wir keine Aktivität gesehen, die darauf hindeutet, dass irgendwelche MyHeritage-Konten kompromittiert wurden.

Wir glauben, dass das Eindringen auf die E-Mail-Adressen der Nutzer beschränkt ist. Wir haben keinen Grund zu der Annahme, dass andere MyHeritage-Systeme kompromittiert wurden. Beispielsweise werden Kreditkarteninformationen nicht auf MyHeritage gespeichert, sondern nur bei vertrauenswürdigen Dritt-Rechnungsanbietern (z. B. BlueSnap, PayPal), die von MyHeritage verwendet werden. Andere Arten von sensiblen Daten, wie Stammbäume und DNA-Daten, werden von MyHeritage auf getrennten Systemen gespeichert, getrennt von denen, die die E-Mail-Adressen speichern, und sie enthalten zusätzliche Sicherheitsebenen. Wir haben keinen Grund zur Annahme, dass diese Systeme kompromittiert wurden.

Schritte, die wir unternommen haben

Unmittelbar nachdem wir von dem Vorfall erfahren haben, haben wir ein Informationssicherheitsteam organisiert, um den Vorfall zu untersuchen. Wir haben auch sofortige Schritte ergriffen, um eine führende, unabhängige Cybersicherheitsfirma zu verpflichten, umfassende forensische Überprüfungen durchzuführen, um den Umfang des Eindringens zu bestimmen; und um eine Bewertung durchzuführen und Empfehlungen zu geben, welche Schritte unternommen werden können, um zu verhindern, dass ein solcher Vorfall in der Zukunft auftritt.

Wir unternehmen Schritte, um die zuständigen Behörden einschließlich der DSGVO zu informieren.

Wir werden unsere Arbeit an der kommenden Zwei-Faktoren-Authentifizierungsfunktion, die wir allen MyHeritage-Nutzern in Kürze zur Verfügung stellen werden, beschleunigen. Dies wird Nutzern, die daran interessiert sind, davon Gebrauch zu machen, erlauben, sich zusätzlich zu einem Passwort über ein mobiles Gerät zu authentifizieren, was ihre MyHeritage-Accounts zusätzlich vor illegitimen Zugriffen schützen wird.

Wir haben ein rund um die Uhr verfügbares Kundenbetreuungsteam organisiert, um Kunden zu unterstützen, die Bedenken oder Fragen zu dem Vorfall haben.

Was unsere Nutzer tun sollten

MyHeritage-Nutzer, die Fragen oder Bedenken zu diesem Vorfall haben, können sich per E-Mail unter privacy@myheritage.com oder per Telefon unter der gebührenfreien Telefonnummer (USA) +1 888 672 2875, die rund um die Uhr erreichbar ist, an unser Sicherheitsteam wenden.

Allen registrierten Nutzern von MyHeritage empfehlen wir, dass sie ihr MyHeritage-Passwort ändern, um maximale Sicherheit zu gewährleisten. Die Vorgehensweise hierfür ist im MyHeritage FAQ-Artikel beschrieben. Sobald MyHeritage die bevorstehende Zwei-Faktor-Authentifizierung freigegeben hat, empfehlen wir allen unseren Nutzern, diese Funktion zu nutzen.

Momentan gibt es keine weiteren Aktionen, die MyHeritage-Nutzer als Folge dieses Vorfalls ausführen müssen. Wir empfehlen jedoch immer, dass Sie sich die Zeit nehmen, Ihre Sicherheitspraktiken zu bewerten. Bitte vermeiden Sie die Verwendung des gleichen Passwortes für mehrere Dienste oder Websites. Es empfiehlt sich, stärkere Passwörter zu verwenden und diese häufig zu ändern.

Wir machen weiter

Wie immer haben Ihre Privatsphäre und die Sicherheit Ihrer Daten höchste Priorität. Wir überprüfen kontinuierlich unsere Verfahren und Richtlinien und suchen nach neuen Wegen, um unseren Sicherheitsansatz zu verbessern. Wir verstehen die Bedeutung unserer Rolle als Hüter Ihrer Informationen und arbeiten jeden Tag daran, Ihr Vertrauen zu gewinnen.

Danke für Ihr Verständnis.

Kontakt

Omer Deutsch
Chief Information Security Officer, MyHeritage
E-Mail: dpo@myheritage.com

Kommentar hinterlassen

Die E-Mail-Adresse ist privat und wird nicht angezeigt

  • V. E. Hagendorf


    13. Juni 2018

    Danke euch für die Information!

  • Dietrich Rath


    14. Juni 2018

    Danke für die ausführliche Information.
    Nach meine laienhaften Wissen und Verständnis kann ich doch nur e-Mails durch die entwendete Adresse von dem Entwender bekommen. Oder kann sich dieser damit auch auf meinem PC einschleichen und/oder auch bei mir Daten klauen ?
    Für eine kurze Antwort wäre ich Ihnen sehr dankbar
    Freundlichen Gruß
    Dietrich Rath

    • Silvia


      15. Juni 2018

      Hallo Herr Rath, nein, da kann sich keiner in Ihrem Computer hacken, keine Sorge! LG

  • M. Schneider


    15. Juni 2018

    nochmal ? muss ich nun mein Passwort ändern ?

    • Silvia


      18. Juni 2018

      Hallo Herr Schneider, ja, bitte Passwort ändern. VG